我对 github 有疑问。
我在公共存储库中发布了 npm 密钥,github 删除了这个密钥。但我不明白,有人可以看到这个密钥并有时间下载我的包吗?
我对 github 有疑问。
我在公共存储库中发布了 npm 密钥,github 删除了这个密钥。但我不明白,有人可以看到这个密钥并有时间下载我的包吗?
正如GitHub 文档所述,您推送到存储库的任何机密都必须被视为已泄露。有些服务会扫描存储库中的秘密,并试图立即利用它们。
如果您担心是否有人滥用了这些凭据,您可以查看 npm 是否有最近使用该令牌执行的操作的列表,并查看它是否被您以外的其他人使用。除此之外,您只需要假设某人在该令牌被暴露期间确实可以访问该令牌并进行适当的取证调查。